Siber güvenlik firması Quorum Cyber, Nodesnake olarak bilinen kötü amaçlı yazılımın iki yeni versiyonunu ortaya çıkardı. Bu keşif, bu saldırıların arkasında olduğuna inanılan kilit fidye yazılımı grubu için hedeflerde olası bir değişimi vurgulamaktadır.
Quorum Cyber’ın Tehdit İstihbarat Ekibi Nodesnake’i izliyor ve kilit fidye yazılımlarına bağlı olduğuna inanıyor. Bu bağlantı, saldırganlar tarafından kullanılan paylaşılan çevrimiçi altyapıya dayanmaktadır.
Ekip, iki ay içinde Birleşik Krallık’taki iki üniversiteye yapılan saldırılarda kullanılan benzer kötü amaçlı kodları fark etti. Aynı saldırganlar muhtemelen bu üniversitelere her iki nodesnake sıçanını yerleştirdi. Ayrıca, iki Nodesnake varyant aynı aileden, yeni olanı önemli gelişmeler gösteriyor.

Hackread.com ile paylaşılan Quorum Cyber’ın araştırmasına göre, Nodesnake bir tür uzaktan erişim Truva atı (sıçan). Sıçanlar tehlikelidir, çünkü saldırganların enfekte bilgisayarların kontrolünü uzaktan ele geçirmelerine izin verirler. Bu, saldırganların dosyalara erişebileceği, kullanıcıların ne yaptığını izleyebileceği, bilgisayar ayarlarını değiştirebileceği ve hatta sistemde gizli kalırken ve hatta diğer zararlı programları tanıtırken önemli bilgileri uzaktan çalabileceği veya silebileceği anlamına gelir.
İlk olarak Eylül 2024’te görülen Interlock fidye yazılımı, tipik olarak Kuzey Amerika ve Avrupa’daki büyük veya değerli kuruluşlara odaklanmıştır. Bu grup, verileri şifreledikleri ve bir fidye ödenmedikçe serbest bırakmakla tehdit ettikleri çift genişlemeli taktiklerle bilinir.

Diğer birçok fidye yazılımı grubunun aksine, Interlock başkaları için bir hizmet olarak çalışmaz ve bilinen ortağı yoktur. Hem Linux hem de Windows bilgisayar sistemlerine saldırabilir ve çok çeşitli hedefler verebilir.
Bununla birlikte, son faaliyetler Interlock’un artık yerel yönetim organlarını ve yüksek öğrenim kurumlarını hedeflediğini göstermektedir. Nisan 2025’te Hackread.com, Interlock’un böbrek diyaliz tedavisi konusunda uzmanlaşmış büyük bir sağlık hizmeti sağlayıcısı olan Davita Healthcare’den 20 terabayt (TB) hassas hasta verilerinin şaşırtıcı bir 20 terabaytını (TB) çaldığını bildirdi.
Hedeflerdeki bu değişim söz konusudur. Quorum Cyber’ın baş tehdit sorumlusu Paul Caiazzo’nun açıkladığı gibi, “Bu yıl üniversiteleri, araştırma verileri de dahil olmak üzere değerli fikri mülkiyeti dışarı atmayı ve diğer sektörlere potansiyel olarak uygulanmadan önce yeni taktikleri, teknikleri ve prosedürleri test etmek için giderek daha fazla hedefleyen tehdit aktörlerini gözlemledik.”
Caiazzo, araştırma verilerinin hırsızlığının casuslukla ilgili bir motivasyona işaret ettiğini de sözlerine ekledi. Quorum Cyber, kuruluşların önemli bilgilerini korumalarına yardımcı olmak için kilit ve nodesnake’i izlemeye devam ediyor. Şirket, burada mevcut olan Nodesnake raporunda kötü amaçlı yazılımın etkisini azaltmak için ayrıntılı bir teknik analiz ve öneriler sunmaktadır.